免杀之曲线救国(基于白名单_MSBuild.exe)

一、MSBuild介绍

　　MSBuild 是 Microsoft Build Engine 的缩写，代表 Microsoft 和 Visual Studio的新的生成平台。MSBuild在如何处理和生成软件方面是完全透明的，使开发人员能够在未安装Visual Studio的生成实验室环境中组织和生成产品。MSBuild 引入了一种新的基于 XML的项目文件格式，这种格式容易理解、易于扩展并且完全受 Microsoft 支持。MSBuild项目文件的格式使开发人员能够充分描述哪些项需要生成，以及如何利用不同的平台和配置生成这些项。说明：Msbuild.exe所在路径没有被系统添加PATH环境变量中，因此，Msbuild命令无法识别。

 

位置① C:\Windows\Microsoft.NET\Framework\v4.0.30319

位置② C:\Windows\Microsoft.NET\Framework\v4.0.30319

二、Metasploit的Evasion模块生成Payload

　　启动Msfconsole选择Evasion模块，选择evasion/windows/applocker_evasion_msbuild
　　
　　设置Payload相关参数后会生成一个txt文本,由于生成的x86架构的Payload，所以后面使用位置②的MSBuild.exe去运行txt

　　CD到MSBuild.exe目录下运行txt Payload，出现下面内容表示运行成功。测试结果：免杀火绒，执行完后会出现.dll告警，不影响上线。360会拦截MSBuild.exe的执行行为，暂时过不了360杀软。

　　下图为成功上线结果：

　　火绒告警日志：

　　另外MSBuild.exe也可以运行xml后缀文件，比如将生成的Payload txt改成xml文件再运行。但是这样会导致无法免杀，免杀效果不如txt。

三、总结

　　本文的免杀手法目前可以免杀此时此刻最新版的火绒杀软，按理来说360也可以免杀掉，只是360有点流氓罢了，不分青红皂白直接拦截MSBuild.exe的行为。假设那个Payload txt 是一个正常的应用程序，那么360的强行拦截，是否会导致正常运行的某程序发生崩溃？答案显而易见，该免杀手法优点在于：①恶意Payload 存在在txt文本内，一般杀毒软件几乎查杀不了。②无需Administrators管理员权限，省去后续的权限提升步骤。③Payload txt文件大小极小，便于传输。原文出处：https://www.cnblogs.com/PatrickStar88888888/articles/16861384.html另外加个好友一起学习 ^v^